Dle mého to je chyba—respektive není to domyšlené, protože pak by přece nemělo smysl specifické nastavení práv u jiných uživatelů (složky v home)—do těch složek se jako admin nedostaneš.
Ochrana je asi jediná—nastavit auto. odhlášení při nečinnosti…
To vypada jako problem ve screen saveru, nic co by neslo snadno opravit. Jinak pristup k souborum neni problem ani na jinych systemech, pokud je utocnik admin :-)
No chyba to asi je nicmene pokud je aktivni ucet ROOT a odejdu si na obed….. ale myslim ze neco s tim screen saverem se uz resilo pred rokem… a zaver byl ze screensaver neni ochrana pocitace. byl kolem toho docela humbuk…
[2]jestli se nepletu, tak s adminem se k cizim souborum tak jednoduse nedostanes. Musel bys uzivateli zrusit ucet a domovskou slozku “prevest” na sebe. Nebo, samozrejme, povolit roota.
Obavam se, ze to neni bug, ale zamer. Modelova situace: dva kolegove v praci, jeden pocitac (nebo 30 studentu – 1 pocitac ;) ). Jeden kolega odejde a pocitac uspi. Druhy kolega na nem potrebuje pracovat, co ted – restartovat natvrdo pocitac?. Ne, prijde admin, zada heslo, prepne uzivatele a jede se dal. Prvni uzivatel neprijde o rozdelanou praci, druhy muze delat.
Takze se obavam ze je to “intended behaviour”, ale mohlo by to byt nekde jasne uvedene…nebo treba je, ale kdesi hluboko v anglicke dokumentaci, kam bezny uzivatel neprijde.
[4]tenkrat slo tusim o delku hesla, to se k tomu mohl dostat kazdy, ted aspon jenom admin. On screensaver rozhodne neni zadne poradne zabezpeceni, ale co treba zbyva studentum v pocitacovych ucebnach – odhlasit se nemuzou, to by si nekdo sedl misto nich. Pravdou je, ze tam asi nebude mit druhy student admin heslo. Proto si myslim, ze minula situace byl bug, zatimco tohle je tam umyslne. Ona tam ta moznost totiz musi byt IMHO naprogramovana, dost pochybuji, ze by se tam neco takoveho dostalo jako vedlejsi produkt. S tim uz ale varim z vody.
Mam za to, ze se admin dostane vsude, kam chce. Pletu se? Staci zmenit pristupova prava a zadat heslo. Kdyz je mu jedno, ze bude objeven, tak muze resetnout heslo, cokoliv… Nakonec kdyz nejsi admin a chces byt, tak neni nic jednodussiho, nez najit nejake systemove DVD. To je IMHO nejvetsi problem – kdokoli je za pet minut root s neomezenym pristupem ke vsemu. Postupu je cela rada a majitel pocitace na to nemusi nidky prijit.
Je rozdil se dostat K DATUM, je rozdil nalogovat se do uctu. Jinak tohle NESOUVISI se screensaverem, klidne si ho vypnete, je to proste ochrana po probuzeni.
ad skola a podobne – pro podobne ucely je Fast User Switching, pri existenci teto funkce neni jediny duvod, aby bylo mozne se prihlasit takto snadno do uctu jineho uzivatele. chyba je to :(
tohle je asi vec znama, ale neznepokojuje me to tolik jako to, ze se k datum dostanes VZDYCKY pres instalacni cd. Tuhle v praci vyhodili jednoho kolegu a jsem potreboval admin ucet na jeho G5. Tak jsem vzal instalacni cd, zrestaroval comp a v instalacnim menu nastavil reset poassword, kde se me to bez optani na puvodni heslo dovolilo zadat nove. restart, login a oujeee, vse funguje jako normalne. Pravda obet se pak se svym starym heslem uz nenaloguje, ale data jsou vase. OS X NENI bezpecna platforma pokud nepouzivate File Vaul s Master heslem.
[8]kdyz je zapnute Fast User Switching a pocitac se uspi, tak co se stane pri opetovnem probuzeni? Omlouvam se za blby dotaz, ale nemuzu si to ted vyzkouset.
[7] to je jen otazkou zabezpeceni hesly, ja mam zaheslovane vsechny klicove preferences a tim padem i “startup disk”, dale mam zadane Open FW heslo, takze u mne nenabootujete ani s podrzenim C pri bootu, PRAM take nevyresetujete… v podstate jediny zpusob je otevrit pocitac fyzicky a manualne vyresetovat board… (a tam se da dat zamecek – visaci)
teda aspon doufam :)
[5] na 10.3.9. jsem to ted testoval (na 10.4.3. mam jen jeden admin ucet a tak jsem to netestoval, na 10.3.9. jeden admin a jeden user) a pro situaci, kdy se chce zalogovat dalsi user staci mit povoleno fast user switching a v login okne pri pokusu o vypnuti screensaveru je moznost “switch user”.
Imo by se mel admin po tom zalogovani dostat na svuj ucet, ne na ten uzivatelsky… nejak nevydim duvod, proc by se mel potrebovat dostat na uzivatelsky (napada nekoho duvod?)
[13]hm, tak v tom pripade je to tedy skutecne nesmysl a omlouvam se, tohle mi nejak nedoslo. Ja doma FUS nejak nepouzivam.
Stejne si ale nedovedu predstavit, jak by se to tam dostalo nahodou, nemuzu se zbavit dojmu, ze to tam dal Apple schvalne…ted me uz ovsem nenapada duvod
[14]to je jasne, ja to odzacatku nemyslel tak, ze je to v poradku. Jen si proste neumim predstavit, ze by to tam bylo nahodou ci jako omyl. Asi mam malou predstavivost :)
agent: a kde jsou umistena? Vzdycky muzes dat informace o slozce a nastavit tam prava na 777 nebo cokoliv, abys k tomu mohl… Ani nemusis do terminalu. Je to opravdu az prilis jednoduche.
Jestli to dobre chapu, tak sudo nahrazuje docasne zalogovani pod rootem….
A co se vlastne stane, kdyz je root heslo odlisne od admin hesla a admin, ktery nezna root heslo zada sudo a pak svoje heslo? Necha ho to provest sudo?
Myslim tim teoretickou situaci, kdy je nekolik useru a nekolik adminu s tim, ze jen jeden z adminu je “super” admin a ten se muze zalogovat jako root (zna heslo). Nebo jsem mimo?
Ehm tady je někdo objevil Ameriku. Pokud jsem admin, tak můžu zavést kext (kernel extension) (device driver pod Win nebo driver pod Linuxem) a ten může zcela bez problémů zaznamenávat každou stisknutou klávesu popř. dělat screenshoty obrazovky a ty mi jednou denně mailovat. Prostě pokud je někdo admin (Administrátor, root), tak mi může provést naprosto cokoliv. A pokud pustím někoho cizího bez dozoru k počítači, tak se ten cizinec obvykle je schopen stát adminem (reset hesla z install CD, nabootování nějakého live Linuxu a podívání se kam chce, reset Win hesla pomocí speciální boot diskety, ... a pokud to udělám dobře, tak budu schopen obnovit původní heslo).
Zaheslování souborů dost pomůže ale proti odchytávání klávesnice (aneb zaznamenání hesla) pomocí kext to stejně nefunguje.
Ja tomu moc nerozumim, ale mam OS X 4.2 a protoze jsem na nem sam, pouzivam jen admin. A pokud se pocitac vzbudi, chce po me heslo. Ale pokud pocitac restartuji, ci zapnu, zadne heslo to po me nechce…
Ne, neni to bezpecnostni dira, mozna to jen neni idealni volba (bylo by hezke mit moznost to vypnout). Predstav si totiz analogickou situaci, kdyby tato domnela dira neexistovala (pri probuzeni je akceptovano jen heslo prihlaseneho uzivatele): Je prihlaseny nejaky uzivatel s otevrenym svazkem klicu a citlivymi daty na obrazovce. Jeho kolega administrator se prihlasi pres SSH (to muze jako administrator kdykoli predtim povolit) a muze tak ziskat superuzivatelska prava – vidi vse, co je v pameti, na obrazovce, a nakonec i shodi setric obrazovky nebo proces vyzadujici po probuzeni heslo a ma vyhrano. Zadny podstatny rozdil. To je aspon muj nazor.
agent: [25] Sudo spravci (tomu, kdo zna jeho heslo) dovoluje ziskat prava libovolneho uzivatele. (A i kdyz to neni dulezite: Administrator muze kdykoli aktivovat implicitne neaktivni ucet superuzivatele.)
jt: [26] Vypni si automaticke prihlasovani.
Ezekiel: [9] Lze si nastavit OpenFirmware heslo a tak tomu zamezit. Fyzicky pristup k pocitaci ale bez ohledu na to znamena absolutni pristup k (nezasifrovanym) datum (vyndat disk, pripojit jinam). S tim se neda nic delat.
Adam, Petr Balas: jiste, to vsechno jde, napadnou pocitac pri fyzickem pristupu k nemu je samozrejme trivialni a de to mnoha zpusoby. Tento je hloupy v tom, ze je EXTREMNE trivialni!
Zda se mi to lehce vykonstruovane (co realna situace?) a zvelicene (skutecny vyznam oproti tomu, kdyby spravce takhle odemnout pocitac nemohl).
Chci-li pocitac skutecne chranit, neprihlasim se a nenecham ho nestrezeny spat (pokud tedy podeziram spravce, mam duvody byt paranoidni atd.) – bez ohledu na to, zda je prihlaseni spravce o trochu slozitejsi nebo snazsi.
Je to i vec nazoru, ale vadi mi ten senzacni titulek clanku – i kdyz to pozdeji pises, neni v nem, ze musis mit spravcovske heslo. Kdyby to v titulku bylo uvedene, nikoho by to nijak zvlast neprekvapilo, natoz aby v tom videl nejakou bezpecnostni diru. Spravce ma totiz nad pocitacem v podstate absolutni moc, zbytek jsou detaily.
Adam: sorry, ale je ROZDIL kdyz k tomu potrebujes nejake specialni nastroje a znalosti, a je rozdil, kdyz to muzes udelat kdykoliv, behem nekolika vterin. i chyby maji sve “hodnoty” a tohle je pro me docela zavazna chyba, snadno bezne zneuzitelna. Snadne zneuziti me dost zarazi a opravdu bych to nebagatelizoval.
a realna situace je VELMI snadna – v libovolnem grafickem studiu, kde pouzivaji vice accountu a kde je na vsech jednotny spracovsky account – pomerne bezna konfigurace. zajima te co si tva kolegyne pise v ICQ? sup, behem vteriny to vis. ses zvedavej kolik kolega bere plat a vidis ze si nechal otevreny vypis z banky? Lup. Jej, ma sporku? to si muzes previst penize na vlastni ucet, nez prijde ze zachoda.
Obavam se ze zbytene to trivializujes a podcenujes. Sestup z programatorskych vysin, kde si muzes hrat na dumpovani pameti, odchytavani klaves pres kernel extenzny a podobne ptakoviny, do realneho zivota, kde muzes takhle snadno nekomu skodit, vedet co vedet nemas a podobne.
1) Pokud ma clovek admin prava, muze se dostat ke vsem datum na pocitaci a libovolne s nimi manipulovat, jak uz tu bylo receno. Jedine reseni je FileVault.
2) MaLer ma pravdu, ze jde hlavne o zneuziti zamcene session, jejich spustenych aplikaci (napriklad prihlaseny web browser v eBance – do niz by se jinak nikdo nedostal ani kdyby si precetl vsechny moje data na disku). To je myslim dost velky problem.
3) ALE – je iluzorni si predstavovat, ze admin u vas na pocitaci neco nemuze. Napriklad se muze ve vyse zminene firemni siti pripojit na pocitac pres SSH a screensaver proste zabit, ze ano…
Vysledek: Taky si nemyslim, ze to je ve screensaveru nahodou – je to feature a ne bug. Chyba Apple je hlavne v tom, ze dava obcas uzivatelum pocit, ze nektera jejich data/programy jsou na pocitaci bezpecna i pred adminem. Nejsou. Nikdy.
Upresneni: A druhy problem je v tom, ze na pocitaci sice pred adminem neni NIC utajene, nicmene Apple k tomu nemusi vyzyvat takhle dosiroka otevrenou dirou, kterou clovek pohodlne proklouzne v GUI, aniz by se patlal s nejakym hackovanim.
agent: Prestan prosimte delat rozdil mezi adminem a rootem. Je to v praxi to samy – i kdyz Apple se obcas snazi nam namlouvat neco jinyho.
Tak si tedy dejte pozor i na linux. Pri zapnutem screensaveru se kdokoliv prepne ko konzole a pusti ps. Pokud jde o spravce, klidne Vam zabije screensaver a prepne zpet do X.
Je to asi o 10 vterin zdlouhavejsi, ale vysledek stejny jako u toho maca.
Opravdu bych to povazoval za normalni vlastnost.
Nebo ma linux strasny bezpecnostni problem rovnou v navrhu?
zzen:tak nejak jsem to myslel, jen jsem to nedokazal tak pekne formulovat.
Taky si myslim, ze to tam je umyslne. Myslim ale, ze by Apple mel 1)na to rozumne upozornit, 2)predevsim umoznit to vypnout – pripad, co popisuje MaLer, mi prijde docela realny. Proste mam nekdy dojem, ze v ramci marketingu obcas Apple presvedcuje lidi o bezbecnosti, ktera je pouze iluzorni. Vysledek je – budme aspon trochu paranoidni. Rozhodne neodchazet od kompu spojenho s bankou.
no, tak stále mi nikdo neřekl, jak si rychle, bez nějakých dalších nastavení, prohlédnu soubory v domovské složce jiného uživatele… hlavně, že jsou všichni moc chytří co se bezpečnosti týče… ;-)
Napadá někoho důvod proč mít v práci otevřený soukromý bankový účet, nebo provozovat soukromou korespondenci jakymkoliv způsobem a s kýmkoliv?
Není to tak trochu proti pracovní smlouvě a neměl by být dotyčný patřične postižen – za zneužívání pracovní doby?
Pokud jsem někde zaměstnaný, tak v práci mé soukromé věci nemají co dělat. Každý zaměstnavatel musí být radostí bez sebe, když si jeho zaměstnanci posílají v pracovní době příkazy za svoje soukromé faktury a pod.
Když jsem doma, tak tam k počítači nikoho s bootovacím CD nepustím, pokud se tam někdo vloupá, tak to si rovnou může odnést celý počítač.
nm (34): na Linuxu lze zablokovat přepínání do konzole (volba v xorg.conf).
A nebo nakonfigurovat selinux (http://www.nsa.gov/selinux/) a věřím, že to půjde nakonfigurovat tak, že to bude bezpečné. Ale bude to otravovat uživatele.
Martin: konecne rozumnej nazor! :))) Hlavne si myslim, ze je blbost rikat,ze to je chyba, chyba to neni, myslim, ze je to tak spravne a dobre!KDyz je prece nekdo admin, tak ma mit nad tim pocitacem moc a ma ho spravovat. A aby ho mohl poradne spravovat, tak musi mit pristup vsude. A normalni uzivatel prece musi pocitat s tim, ze se Admin muze dostat vsude, od toho je to admin, aby ten pocitac mohl administrovat! Myslim, ze tady se blbe uvadej priklady z nasich malinkejch firmicek – grafickej studii, kde je 5a pul cloveka a vsichni si tam delaj vsechno sami, nemaj zadnyho specialistu administratora, kazdej zna heslo toho druhyho atd. S timhle neni pocitany! A ani se s tim hlavne pocitat nemuze! Predstavte si jak by to dopadlo, kdyby tahle moznost v Masoxu nebyla. Ja bych treba byl uzivatel, kterej si odesel z prace domu a nechal zapnutej komp jen se sporicem. A admin ve firme by potreboval neco udelat s mojim pocitacem – treba upgradovat system nebo nainstalovat novy antivir atd. Kdyby se nemohl se svym adminackym heslem dostat ke mne na ucet, tak by si ani neuprdnul, musel by pockat, az ja druhej den nebo po vikendu prijdu zase do prace a pocitac mu odhesluju – to je prece uplna kravina. Jasne muzes rict, ze na nainstalovani neceho se muze dostat k sobe na ucet a delat to odtamtud, to je pravda, ale co kdyz pak bude muset komp restartovat?!? kdyz se nedostane ke me na uzivatelskej ucet, tak jak si bude jistej, jestli ten komp muze restartovat anebo ne? Co kdyz ja tam budu mit treba rozdelanou nejakou praci v Shopu, na ktery makam celej den a jste jsem si to neulozil?!? Tim ze by on restartoval pocitac, tak bych mel celou praci v prdeli anebo on by zase,musel pockat az ja prijdu a zadam svoje heslo. Ale to by tam potom ten admin nebyl potreba, to by sis mohl vsechny upgrady delat sam!!! Jasne ze v tech malejch firmickach si to vetsinou kazdej sam dela, ale to je prave to, s cim se nepocita. Admin je adminem proto, ze se ma a musi dostat vsude, aby se o ten pocitac mohl dobre starat se vsim vsudy a kazdej s tim musi pocitat, ze admin se dostane vsude, od toho je to admin a ne normalni user! A normalni uzivatele nemaj mit o adminskym hesle vubec poneti, takze takovy reci, ze se kolegovi podivam na ucet atd, tak to je hovadina, protoze ja vubec nemam adminsky heslo znat jakozto radovej zamestnanec. A jako takovej se pak taky nikam nedostanu! Zdar a mejte se :)
A jeste dodatek, kdyz se tady ohanite sudem, rootem atd. tak to uz musite byt prave bud admin, ktery o tom neco vi protoze je to jeho prace anebo byt norm. uzivatel, ale pocitacove hodne gramotny, aby jste tyhle vsechny prikazy ovladali. A kdyz uz je nekdo takhle schopnej, tak je jakykoliv zabezpeceni jedno, kdo chce se vsude dostane!!! A screen saver je spis jen pro nahodny kolemjdouci, aby treba navstevnik ve firme nevidel to co nema a nedostal se k citlivym datum v kompu, kdyz nahodou prochazi okolo, ale rozhodne to neni poradna ochrana!
*(38)* Nevedel jsem, ze to lze zakazat (diky za informaci), ale neprekvapuje me to. V praxi je to ale dokonale jedno, protoze zakazat to musi admin, ja s tim nemuzu delat nic.
Navic admin to nezakaze, plni to funkci “fast user switching” na macu. Taky by musel vypnout sshd!
Proste “branit se” pred pristupem admina je podle me nepochopeni rozdeleni roli.
Jina vec je treba ten Keychain. Ten mam i ja nastaveny tak, aby se automaticky zamykal. Ze v me bance clovek nevyridi prikaz bez meho telefonu a hesel snad netreba pripominat, stejne jako to, ze takove veci clovek opravdu nenechava bezet, kdyz od stroje odchazi a ze bezny pracovni stroj prece neni “bezpecny”.
jo presne tak, naprosto souhlasim s pixim :))) kdyz si to prectu ted z5ne, tak je to vlastne totalni kravina ;) ...ale ze jsme se nechali vsichni strhnout! :)
Narazil jsem na dalsi “problem?” v zabezpeceni.
Na XSERVu se pri zobrazeni okna s accountama
pro zalogovani na pozadi objevi tabulka internet connect a na ni kdyz se klikne tak se zobrazi hlavni horni lista systemu…tam si v pohode potencionalni
utocnik muze v system pref. zalozit vlastni ucet
treba i admin. Nevim jak se to stalo [nejaka chyba]..ale neni to taky zrovna prijemny zjisteni.
Martin Ler: Abych to zrekapituloval: Tvrdis, ze je docela zavazna chyba, ze spravce pocitace (a nikdo jiny) muze snadno vstoupit do probihajici session jineho uzivatele, ktery nechal pocitac bez dozoru “zabezpeceny” uspanim nebo setricem? A navic rikas, ze je nejaky zavazny rozdil mezi tim, kdyz na to onen spravce potrebuje specialni znalost toho, jak se ukoncuji procesy, a specialni nastroj ssh a toho, a kdyz pocitac odemkne svym heslem (musi ovsem vedet, ze to jde)?
Pro me je to asi jako, kdyby nekomu vadilo, ze mobily se zamcenou klavesnici nevyzaduji vyreseni hlavolamu, ale pouhe stisknuti dvou klaves. Ovsem tezko Ti to muzu vyvratit argumenty, me to prijde banalni a Tobe ne, asi nema cenu to dal resit.
agent [36] napriklad:
sudo cp -R ~/Users/jrandom .
nebo chces-li se mermomoci vyhnout superuzivatelskemu pristupu:
Nemyslim si, ze by to byl bug v systemu. Pokud admin chce ziskat neci data ulozena na HDD, bude-li chtit se k nim stejne dostane(nepouzivame-li FileValut).
Uz to tady padlo… prijde mi to spis jako Feature, ktera dokaze v jistem smyslu “ochranit data” uzivatelu. Mame u nas 2 pocitacove ucebny, na kterych probiha podle rozvrhu vyuka (uzivatele maji data ulozena na serveru). Uzivatel si treba na chvili odskoci, zamkne si screensaver a najednou ma zacit hodina. Administrator potrebuje stroj uvolnit, jelikoz system neumoznuje prihlasit 2 sitove uzivatele najednou (tedy FUS by nebyl k nicemu), odemkne screensaver, podiva se zda ma uzivatel vsechna data ulozena a teprve pak jej korektne odhlasi.
Jasne, jsou extremy kdy muze byt clovek zalogovany v e-benkovnictvi, nebo si nezamyka keychain. Ale to je vec uzivatele, jak moc si ceni svych penez, hesel apod. Kdyby neexistovalo zamknuti screensaveru, tak by si na to musel taky davat pozor… Je to jen ochrana pred nahodnym kolemjdoucim.
Pred casem jsem prisel na jinou zajimavou vec. Jeste do nedavna fungovalo to, ze se clovek se znalosti admin(root) hesla serveru dokazal pripojit na sitoveho uzivatele. Pouze do LoginWindow napsal jeho jmeno, sve heslo a HUPS … byl tam!
Mam za to, ze to fungovalo cca na server i cilent OS 10.3.5 (mozna i driv uz si na podrobnosti moc nevzpominam), ale 10.3.9 to jiz neumoznuje.
Zajímavá fetaure je také zamykání předvoleb, akorát nevím proč se objeví po odlogování/přilogování vždy odemčené, tedy alespoň u primárního admin účtu, možná u jiných to funguje. Nedá se to nějak udělat, aby zůstávaly stále zamčené?
[49] Jan Volf: obavam se, ze tohle neni standartni chovani zamknutych predvoleb, alespon u mne na 10.4.3. zustavaji samozrejme po odlogovani a zalogovani / restartu stale zamknute.
Ah, takze vlastne soukromi je vec iluzorni, predlud, a kdo na nej spoleha, je hloupej. presne takovyto dojem jsem si odnel z prispevku vsech nohejlu, pixu, balasu a dalsi. diky!
Soukromí není věc iluzorní ale musím se chovat zodpovědně. Pokud má domovník univerzální klíč od mého bytu, tak bych neměl spoléhat na to, že se mi do bytu nikdo nedostane. Obdobně pokud má někdo admin heslo od mého počítače (nebo k němu má fyzický přístup) tak by mě taky nemělo překvapit, že se do něj dostane. Situace u počítačů je navíc horší o riziko bezpečnostních děr a rychlosti jejich oprav (popř. ještě vydávání lokalizovaných verzí) a tím, že mnoho uživatelé okamžitě spustí cokoliv, co mu kdo zamailuje (bohužel spuštění může být i jen otevření dokumentu s makry).
Petr Baláš : mě to připadá v této analogii, jako když má domovník universální klíč od tvého bytu, a když jdeš na oběd, tak se ti jde podívat do bytu co tam máš nového…
sranda je totiž v tom, že přes terminál vidí pouze soubory, kdežto takto může plnohodnotně PRACOVAT v tvém účtu—posílat zprávy, mít přístup k chatu apod.—jistě, to vše lze zfalšovat i jinak, ale tohle je celkem dobré usnadnění...
Pochopitelně jsem tím myslel odeslání z daného počítače (tedy shodné IP, shodné směrování, atd.)—tudíž zneužití, které by se jen těžko zjišťovalo… (a to nemluvě o pohodlném přístupu k privátnímu seznamu adres apod. napadeného)... opravdu bych si netroufl to takto zveličovat…
Zajimave … rozhdodne to funguje. Jako administrator se muzu prihlasit na jakemkoliv pocitadle, kde bezi screen saver, password pro jehoz ukonceni po mne chtejici :-)
Nevim, proc tomu tak je. Ani nevim, jesti je to chyba. Preci jen Admin je Admin a ten se holt muze pripojit pokazde a vsude … dulezite je, ze to funguje pouze pro administratora. Jiny uzivatel se takto neprihlasi.
V pripade, ze se VI ze domovnik MA me univerzalni klic, fajn. Ovsem v tomto pripade to trosku kulha na obe nozky, nebot to neni publikovana a znama vec.
Kamarád (a kolega) to tu už psal (48), ale docela to zapadlo, takže: Martine, tvrdíš, že pokud něco potřebuje na počítači správce, řešením je fast user switch. Není, pokud se uživatelé přihlašují síťově. Ke kontům na serveru. Přes FUS se mohou současně připojit všichni lokální uživatelé, ale síťový jen jeden.
Vzorová situace viz příspěvek 48. (A používáme to dlouho, novinka to není).
Spendl: o omezeni sitoveho FUS vim a diky tomu jsme v jedne zakazce nemohli nasadit domenu :(. Kazdopadne to nic nemeni na tom, ze danou funkci povazuji za bezpecnostni chybu. Korektni by bylo, aby Apple umoznil napriklad prihlaseni ukoncit, ale nikoliv do aktivniho accountu proniknout.
[8]: No, napriklad u nas v skole boli nuteny funkciu FUS vypnut. Problem bol v tom, ze mame ucebnu, kde je viacero platforiem a uzivelia neznalí Mac OS X sa jednoducho nevedeli spravne odlogovat. Vacsina sa iba “prepla”. A kedze mnohy iba zistovali, co zac tie pocitace su, tak sa uz nikdy viac opat neprihlasili. Preto bolo uplne bezne, ze som sa prihlasil a na danom kompe viselo 5 a viac uzivatelov, co ho spomalovalo.
Podla mna je normalne, ze ak sa administrator snazi prihlasit, tak mu je to umoznene (aj ked je to screen saver ineho uzivatela). Riesenie, kedy by to admina najprv “switchlo” a potom normalne nalogovalo do jeho uctu sa mi tiez nezda vhodne.
Problem je v tom, ze admin by mal mat nad pocitacom uplnu kontrolu a mal by byt schopny skontrolovat, co sa na danom pocitaci robi. Co obcas moze znamenat aj prihlasenie sa do aktualneho “sedenia” a kontroly, co tam uzivatel naozaj robi.
[31] Situacia, ked administratorske heslo koluje po okoli by nemala byt bezna! Lebo uz len samotny fakt, ze ho pozna kazdy je nebezpecny a chyba je v bezpecnostnej politike danej firmy. Akonahle v danej kancelarii sedia iba uzivatelia, je tento “bug” bezpredmetny.
A v pripade admina, ktory chodi z kancelarie do kancelarie a ked najde locknuty pocitac, tak spehuje jeho uzivatela, si treba urychlene najst ineho (teda ak to nema v naplni prace :-).
[62] “Preto bolo uplne bezne, ze som sa prihlasil a na danom kompe viselo 5 a viac uzivatelov, co ho spomalovalo.”
Mam tomu rozumet tak, ze mate pocitacovou ucebnu a uzivatele, kteri se na ni hlasi maji ?vsichni? lokalni konta?
FUS totiz nedovoluje prihlasit 2 sitove uzivatele soucasne (pokud ano, tak nemam poneti jak)
I na nasich ucebnach jsme FUS byli nuceni vypnout z toho duvodu, ze se nam uzivatele misto odhlaseni pouze prepinali:-(
Ochrana je asi jediná—nastavit auto. odhlášení při nečinnosti…
...stejně je mi to divné…
— agent 6.1.2006 15:30 #
— Milanek 6.1.2006 15:32 #
— agent 6.1.2006 15:34 #
— ED 6.1.2006 15:47 #
Obavam se, ze to neni bug, ale zamer. Modelova situace: dva kolegove v praci, jeden pocitac (nebo 30 studentu – 1 pocitac ;) ). Jeden kolega odejde a pocitac uspi. Druhy kolega na nem potrebuje pracovat, co ted – restartovat natvrdo pocitac?. Ne, prijde admin, zada heslo, prepne uzivatele a jede se dal. Prvni uzivatel neprijde o rozdelanou praci, druhy muze delat.
Takze se obavam ze je to “intended behaviour”, ale mohlo by to byt nekde jasne uvedene…nebo treba je, ale kdesi hluboko v anglicke dokumentaci, kam bezny uzivatel neprijde.
— hroch32 6.1.2006 15:54 #
— hroch32 6.1.2006 15:59 #
— Petr Hrncir 6.1.2006 16:05 #
ad skola a podobne – pro podobne ucely je Fast User Switching, pri existenci teto funkce neni jediny duvod, aby bylo mozne se prihlasit takto snadno do uctu jineho uzivatele. chyba je to :(
— Martin Ler 6.1.2006 16:19 #
— Ezekiel 6.1.2006 16:19 #
— Ezekiel 6.1.2006 16:20 #
— hroch32 6.1.2006 16:29 #
Ezekiel: To co popisujete, nesouvisí s bezpečností systému, ale s bezpečnostní uvnitř nějaké organizace… Mac OS X JE z tohoto pohledu bezpečný...
— agent 6.1.2006 16:30 #
teda aspon doufam :)
[5] na 10.3.9. jsem to ted testoval (na 10.4.3. mam jen jeden admin ucet a tak jsem to netestoval, na 10.3.9. jeden admin a jeden user) a pro situaci, kdy se chce zalogovat dalsi user staci mit povoleno fast user switching a v login okne pri pokusu o vypnuti screensaveru je moznost “switch user”.
Imo by se mel admin po tom zalogovani dostat na svuj ucet, ne na ten uzivatelsky… nejak nevydim duvod, proc by se mel potrebovat dostat na uzivatelsky (napada nekoho duvod?)
— Kichi 6.1.2006 16:31 #
— Martin Ler 6.1.2006 16:35 #
Stejne si ale nedovedu predstavit, jak by se to tam dostalo nahodou, nemuzu se zbavit dojmu, ze to tam dal Apple schvalne…ted me uz ovsem nenapada duvod
— hroch32 6.1.2006 16:36 #
— hroch32 6.1.2006 16:38 #
— Petr Hrncir 6.1.2006 16:48 #
— agent 6.1.2006 16:59 #
— Petr Hrncir 6.1.2006 17:03 #
Petr Hrncir: keychain IMHO nevyresetujes.
— Martin Ler 6.1.2006 17:32 #
A co se vlastne stane, kdyz je root heslo odlisne od admin hesla a admin, ktery nezna root heslo zada sudo a pak svoje heslo? Necha ho to provest sudo?
Myslim tim teoretickou situaci, kdy je nekolik useru a nekolik adminu s tim, ze jen jeden z adminu je “super” admin a ten se muze zalogovat jako root (zna heslo). Nebo jsem mimo?
— Kichi 6.1.2006 17:46 #
— Martin Ler 6.1.2006 18:06 #
— Modrak 6.1.2006 18:20 #
Zaheslování souborů dost pomůže ale proti odchytávání klávesnice (aneb zaznamenání hesla) pomocí kext to stejně nefunguje.
— Petr Baláš 6.1.2006 20:34 #
— agent 6.1.2006 21:09 #
— jt 6.1.2006 21:42 #
agent: [25] Sudo spravci (tomu, kdo zna jeho heslo) dovoluje ziskat prava libovolneho uzivatele. (A i kdyz to neni dulezite: Administrator muze kdykoli aktivovat implicitne neaktivni ucet superuzivatele.)
jt: [26] Vypni si automaticke prihlasovani.
Ezekiel: [9] Lze si nastavit OpenFirmware heslo a tak tomu zamezit. Fyzicky pristup k pocitaci ale bez ohledu na to znamena absolutni pristup k (nezasifrovanym) datum (vyndat disk, pripojit jinam). S tim se neda nic delat.
— Adam Nohejl 6.1.2006 23:00 #
— Martin Ler 7.1.2006 00:23 #
Chci-li pocitac skutecne chranit, neprihlasim se a nenecham ho nestrezeny spat (pokud tedy podeziram spravce, mam duvody byt paranoidni atd.) – bez ohledu na to, zda je prihlaseni spravce o trochu slozitejsi nebo snazsi.
Je to i vec nazoru, ale vadi mi ten senzacni titulek clanku – i kdyz to pozdeji pises, neni v nem, ze musis mit spravcovske heslo. Kdyby to v titulku bylo uvedene, nikoho by to nijak zvlast neprekvapilo, natoz aby v tom videl nejakou bezpecnostni diru. Spravce ma totiz nad pocitacem v podstate absolutni moc, zbytek jsou detaily.
— Adam Nohejl 7.1.2006 00:45 #
— Martin Ler 7.1.2006 02:19 #
Obavam se ze zbytene to trivializujes a podcenujes. Sestup z programatorskych vysin, kde si muzes hrat na dumpovani pameti, odchytavani klaves pres kernel extenzny a podobne ptakoviny, do realneho zivota, kde muzes takhle snadno nekomu skodit, vedet co vedet nemas a podobne.
— Martin Ler 7.1.2006 02:23 #
2) MaLer ma pravdu, ze jde hlavne o zneuziti zamcene session, jejich spustenych aplikaci (napriklad prihlaseny web browser v eBance – do niz by se jinak nikdo nedostal ani kdyby si precetl vsechny moje data na disku). To je myslim dost velky problem.
3) ALE – je iluzorni si predstavovat, ze admin u vas na pocitaci neco nemuze. Napriklad se muze ve vyse zminene firemni siti pripojit na pocitac pres SSH a screensaver proste zabit, ze ano…
Vysledek: Taky si nemyslim, ze to je ve screensaveru nahodou – je to feature a ne bug. Chyba Apple je hlavne v tom, ze dava obcas uzivatelum pocit, ze nektera jejich data/programy jsou na pocitaci bezpecna i pred adminem. Nejsou. Nikdy.
— zzen 7.1.2006 07:05 #
agent: Prestan prosimte delat rozdil mezi adminem a rootem. Je to v praxi to samy – i kdyz Apple se obcas snazi nam namlouvat neco jinyho.
— zzen 7.1.2006 07:06 #
Je to asi o 10 vterin zdlouhavejsi, ale vysledek stejny jako u toho maca.
Opravdu bych to povazoval za normalni vlastnost.
Nebo ma linux strasny bezpecnostni problem rovnou v navrhu?
— nm 7.1.2006 07:21 #
Taky si myslim, ze to tam je umyslne. Myslim ale, ze by Apple mel 1)na to rozumne upozornit, 2)predevsim umoznit to vypnout – pripad, co popisuje MaLer, mi prijde docela realny. Proste mam nekdy dojem, ze v ramci marketingu obcas Apple presvedcuje lidi o bezbecnosti, ktera je pouze iluzorni. Vysledek je – budme aspon trochu paranoidni. Rozhodne neodchazet od kompu spojenho s bankou.
— hroch32 7.1.2006 08:59 #
— agent 7.1.2006 10:15 #
Není to tak trochu proti pracovní smlouvě a neměl by být dotyčný patřične postižen – za zneužívání pracovní doby?
Pokud jsem někde zaměstnaný, tak v práci mé soukromé věci nemají co dělat. Každý zaměstnavatel musí být radostí bez sebe, když si jeho zaměstnanci posílají v pracovní době příkazy za svoje soukromé faktury a pod.
Když jsem doma, tak tam k počítači nikoho s bootovacím CD nepustím, pokud se tam někdo vloupá, tak to si rovnou může odnést celý počítač.
Martin Sluka
— Martin Sluka 7.1.2006 10:50 #
A nebo nakonfigurovat selinux (http://www.nsa.gov/selinux/) a věřím, že to půjde nakonfigurovat tak, že to bude bezpečné. Ale bude to otravovat uživatele.
— Petr Baláš 7.1.2006 11:38 #
— Petr Baláš 7.1.2006 11:47 #
— Petr Baláš 7.1.2006 11:52 #
— koko 7.1.2006 11:53 #
— koko 7.1.2006 11:59 #
Navic admin to nezakaze, plni to funkci “fast user switching” na macu. Taky by musel vypnout sshd!
Proste “branit se” pred pristupem admina je podle me nepochopeni rozdeleni roli.
Jina vec je treba ten Keychain. Ten mam i ja nastaveny tak, aby se automaticky zamykal. Ze v me bance clovek nevyridi prikaz bez meho telefonu a hesel snad netreba pripominat, stejne jako to, ze takove veci clovek opravdu nenechava bezet, kdyz od stroje odchazi a ze bezny pracovni stroj prece neni “bezpecny”.
— nm 7.1.2006 12:44 #
— pixy 7.1.2006 12:46 #
— koko 7.1.2006 16:49 #
Na XSERVu se pri zobrazeni okna s accountama
pro zalogovani na pozadi objevi tabulka internet connect a na ni kdyz se klikne tak se zobrazi hlavni horni lista systemu…tam si v pohode potencionalni
utocnik muze v system pref. zalozit vlastni ucet
treba i admin. Nevim jak se to stalo [nejaka chyba]..ale neni to taky zrovna prijemny zjisteni.
— vlasata 7.1.2006 20:30 #
Pro me je to asi jako, kdyby nekomu vadilo, ze mobily se zamcenou klavesnici nevyzaduji vyreseni hlavolamu, ale pouhe stisknuti dvou klaves. Ovsem tezko Ti to muzu vyvratit argumenty, me to prijde banalni a Tobe ne, asi nema cenu to dal resit.
agent [36] napriklad:
sudo cp -R ~/Users/jrandom .nebo chces-li se mermomoci vyhnout superuzivatelskemu pristupu:
sudo -u jrandom cp -R ~/Users/jrandom .— Adam Nohejl 7.1.2006 20:52 #
Uz to tady padlo… prijde mi to spis jako Feature, ktera dokaze v jistem smyslu “ochranit data” uzivatelu. Mame u nas 2 pocitacove ucebny, na kterych probiha podle rozvrhu vyuka (uzivatele maji data ulozena na serveru). Uzivatel si treba na chvili odskoci, zamkne si screensaver a najednou ma zacit hodina. Administrator potrebuje stroj uvolnit, jelikoz system neumoznuje prihlasit 2 sitove uzivatele najednou (tedy FUS by nebyl k nicemu), odemkne screensaver, podiva se zda ma uzivatel vsechna data ulozena a teprve pak jej korektne odhlasi.
Jasne, jsou extremy kdy muze byt clovek zalogovany v e-benkovnictvi, nebo si nezamyka keychain. Ale to je vec uzivatele, jak moc si ceni svych penez, hesel apod. Kdyby neexistovalo zamknuti screensaveru, tak by si na to musel taky davat pozor… Je to jen ochrana pred nahodnym kolemjdoucim.
Pred casem jsem prisel na jinou zajimavou vec. Jeste do nedavna fungovalo to, ze se clovek se znalosti admin(root) hesla serveru dokazal pripojit na sitoveho uzivatele. Pouze do LoginWindow napsal jeho jmeno, sve heslo a HUPS … byl tam!
Mam za to, ze to fungovalo cca na server i cilent OS 10.3.5 (mozna i driv uz si na podrobnosti moc nevzpominam), ale 10.3.9 to jiz neumoznuje.
— A.R. 7.1.2006 21:17 #
— Jan Volf 7.1.2006 22:35 #
— Kichi 7.1.2006 23:04 #
— Martin Ler 8.1.2006 03:27 #
— Petr Baláš 8.1.2006 04:35 #
sranda je totiž v tom, že přes terminál vidí pouze soubory, kdežto takto může plnohodnotně PRACOVAT v tvém účtu—posílat zprávy, mít přístup k chatu apod.—jistě, to vše lze zfalšovat i jinak, ale tohle je celkem dobré usnadnění...
— agent 8.1.2006 10:32 #
BTW zfalšovat odesilatele mailové zprávy je triviální.
— Petr Baláš 8.1.2006 11:12 #
— agent 8.1.2006 13:09 #
2) co když je odesilatel na dialupu?
— Petr Baláš 8.1.2006 15:29 #
Nevim, proc tomu tak je. Ani nevim, jesti je to chyba. Preci jen Admin je Admin a ten se holt muze pripojit pokazde a vsude … dulezite je, ze to funguje pouze pro administratora. Jiny uzivatel se takto neprihlasi.
:-)
— Martin Blaha 8.1.2006 16:19 #
— Martin Ler 8.1.2006 20:54 #
Vzorová situace viz příspěvek 48. (A používáme to dlouho, novinka to není).
— Špendl 8.1.2006 23:47 #
— Martin Ler 9.1.2006 00:42 #
— Špendl 9.1.2006 03:50 #
Podla mna je normalne, ze ak sa administrator snazi prihlasit, tak mu je to umoznene (aj ked je to screen saver ineho uzivatela). Riesenie, kedy by to admina najprv “switchlo” a potom normalne nalogovalo do jeho uctu sa mi tiez nezda vhodne.
Problem je v tom, ze admin by mal mat nad pocitacom uplnu kontrolu a mal by byt schopny skontrolovat, co sa na danom pocitaci robi. Co obcas moze znamenat aj prihlasenie sa do aktualneho “sedenia” a kontroly, co tam uzivatel naozaj robi.
[31] Situacia, ked administratorske heslo koluje po okoli by nemala byt bezna! Lebo uz len samotny fakt, ze ho pozna kazdy je nebezpecny a chyba je v bezpecnostnej politike danej firmy. Akonahle v danej kancelarii sedia iba uzivatelia, je tento “bug” bezpredmetny.
A v pripade admina, ktory chodi z kancelarie do kancelarie a ked najde locknuty pocitac, tak spehuje jeho uzivatela, si treba urychlene najst ineho (teda ak to nema v naplni prace :-).
PS: Ono by slusne bolo, keby sa to dalo nastavit.
— tomas1284 9.1.2006 16:53 #
Mam tomu rozumet tak, ze mate pocitacovou ucebnu a uzivatele, kteri se na ni hlasi maji ?vsichni? lokalni konta?
FUS totiz nedovoluje prihlasit 2 sitove uzivatele soucasne (pokud ano, tak nemam poneti jak)
I na nasich ucebnach jsme FUS byli nuceni vypnout z toho duvodu, ze se nam uzivatele misto odhlaseni pouze prepinali:-(
— A.R. 9.1.2006 19:09 #